Электронный журнал "Спамтест" No. 201 в этом номере: Новости Спам - статистика за период 03 - 09 сентября 2007 г. Августовский спам с троянскими намерениями Новости Cloudmark: угроза фишинга не теряет актуальности 06.09.2007 Согласно итогам общенационального опроса пользователей Интернета, проведенного исследовательской компанией Harris Interactive по инициативе Cloudmark, почти 90% американцев боятся стать жертвами фишинга. Тем не менее, неосмотрительное поведение американских пользователей в Сети иногда заставляет сбываться худшие из их опасений. Опрос 2215 взрослых пользователей американского сектора Интернета показал, что фишинг остается серьезной угрозой. 77% респондентов, выразивших растущую озабоченность угрозой фишинга, отметили, что их опасения вызваны осведомленностью о безудержном распространении этого явления. Почти половина опрошенных стали получать больше фишинговых спам-писем, чем в предыдущем году. Однако 27% американцев, опасающихся стать жертвой атак фишеров, признались, что не умеют распознавать злонамеренные послания, а 23% знакомы с жертвами фишинга. Несмотря на рост осведомленности американского интернет-сообщества о проблеме фишинга, пользователи зачастую склонны вести себя крайне неосторожно. 37% (почти каждый пятый) респондентов признались, что читают письма от незнакомых отправителей, 13% (примерно каждый седьмой) при этом открывают указанные в подобных посланиях ссылки. 16% опрошенных публикуют персональные данные на веб-сайтах, предоставляющих выбор такой публикации ("optional"); 9% (каждый десятый) открывают вложения в письмах от незнакомцев, а 6% отвечают на письма финансового характера - извещения о задолженности или перспективных инвестициях. Некоторые участники опроса отметили, что из соображений безопасности вынуждены были ограничить свою активность в Сети. 29% респондентов теперь используют особые кредитки и онлайн-счета, предназначенные только для покупок через Интернет; 21% сократили оплату счетов в онлайн, а 20% снизили частоту обращения в интернет-магазины. По мнению специалистов Cloudmark, эти перемены могут нанести серьезный ущерб онлайн-бизнесу. Опрос также выявил, что американские пользователи не имеют четкого представления о мерах и способах защиты от фишинга. Тем не менее, большинство опрошенных признают, что за личную безопасность в Сети в большой мере должны отвечать сами пользователи (89%) и их интернет-провайдеры (82%). По результатам опроса, помимо фишинга, американское интернет-сообщество беспокоят проблемы, связанные с распространением вирусов (38%), шпионского ПО (35%) и спама (30%). Источник: cloudmark.com Чистосердечное признание "биржевых" спамеров 11.09.2007 Министерство юстиции США обнародовало факт признания вины четырьмя членами спамерской группировки, обвиненными в незаконной рекламе акций мелких компаний и обмане инвесторов по схеме "накачка-сброс" с использованием каналов электронной почты. Мошенников ждет тюремное заключение сроком до 10 лет. В 2004 году 47-летний Майкл Сакелла (Michael Saquella), он же Майкл Палома (Michael Paloma), 63-летний Лоренс Каплан (Lawrence Kaplan), 38-детний Генри Земла (Henry Zemla) и 26-летний Жюстен Медлен (Justin Medlin) убедили представителей 15 небольших компаний передать им большой пакет акций, пообещав организовать их публичную эмиссию. Затем самозваные брокеры выпустили поддельные биржевые пресс-релизы, искусственно завысив спрос на продвигаемые акции. Француз Медлен был одним из спамеров, нанятых для организации нелегитимных рассылок. Последовавший в соответствии с мошеннической схемой дефолт принес более 20 миллионов долларов. Основная часть этой суммы после "дележа" с акционерами осела в карманах "предпринимателей". Окончательный приговор криминальному квартету будет вынесен в конце 2007 - начале 2008 года. Каждому было предъявлено обвинение в мошенничестве, состоящее из нескольких пунктов. Троих спамеров ждет тюремное заключение на срок от одного до пяти лет. Сакелла, признавший вину по обоим пунктам обвинения (заговор с целью совершения незаконных манипуляций с ценными бумагами и использование электронной почты в мошеннических целях), проведет за решеткой до 10 лет. Помимо прочего, Сакелла и Каплан признались в неоднократном нарушении регламента Комиссии по ценным бумагам и биржам США (SEC). Они понесут административное наказание в виде конфискации 3 миллионов долларов, нажитых ими на обмане инвесторов семи из 15 компаний, акции которых были взяты ими "на реализацию". Источник: COMPUTERWORLD "Горячие новости" от повелителей "штормового червя" 11.09.2007 В начале сентября специалистами F-Secure были зафиксированы новые тематические спам-рассылки, письма в которых содержали ссылки на исполняемый файл "штормового троянца". Следя за календарем событий и играя на интересах пользователей Сети, спамеры продолжают расширять и совершенствовать свой многомиллионный ботнет. При переходе по ссылке в спамовых письмах, предлагающих с целью сохранения анонимности и приватности в Интернете скачать некую программу Tor, пользователи попадали на поддельную веб-страницу, откуда на их машины загружался файл "tor.exe". Он был опознан исследователями F-Secure как разновидность "штормового троянца". Открытие очередного сезона НФЛ также было отмечено "троянскими" спам-рассылками. Ссылки в спамовых письмах вели на веб-страницу, где любителям футбола предоставлялась полнейшая информация: счет в сыгранных матчах (корректный!), общая статистика и расписание встреч. Против ожидания специалисты F-Secure эксплойтов на вредоносном веб-сайте не обнаружили. Инфицирование происходило после запуска файла "tracker.exe" при переходе пользователя по гиперссылкам на странице или "зашитым" в графическое изображение. По оценке экспертов MessageLabs, SecureWorks и Postini, начиненный "штормовыми троянцами" ботнет в настоящее время вырос до уровня грид-среды, в которой ежедневно бывают активны около 2 миллионов зомби-компьютеров. Трудно вычислить истинные размеры ботнета и производительность составляющих его машин, хотя в MessageLabs склонны полагать, что этот криминальный ресурс пока использует одну десятую своих мощностей. Главный криминалистический эксперт мониторинговой компании MyNetWatchman Лоренс Болдуин (Lawrence Baldwin) сумел определить, что для хостинга вредоносных сайтов, куда злоумышленники ссылками заманивают получателей спамовых сообщений, в "штормовом" ботнете используется 5-6 тысяч компьютеров. По данным эксперта, владельцы криминального ресурса рассылают с помощью ботнета не только поддельные поздравления и новостные "сенсации", но и "биржевой" спам. Болдуин склонен считать, что суммарный объем спам-рассылок со "штормового" ботнета составляет миллиарды сообщений в сутки. С середины июля 2007 года исследователи Postini зарегистрировали 1,2 миллиарда спамовых писем, инициированных "штормовым троянцем". Рекордное количество спама - 57 миллионов сообщений - было перехвачено в Postini 22 августа. Источником 99% этих писем являлся "штормовой" ботнет. Владельцы криминального ресурса позаботились о защите своего детища. Специалисты MessageLabs обнаружили, что в ботнете работает система слежения за IP-адресами потенциальных жертв и частотой скачивания вредоносной программы. При неоднократном обращении к копии "штормового троянца" с одного адреса исследователь или организация рискуют подвергнуться DDoS-атаке. В августе содружество экспертов по безопасности высших учебных заведений Ren-Isac стало свидетелем подобной ответной реакции ботнета на сканирование университетских сетей с целью вычистить их перед новым учебным годом. Источник: Informationweek.com Источник: F-secure.com "Биржевой" спам атакует владельцев мобильных телефонов в США 11.09.2007 В конце августа многие американцы впервые столкнулись с такой проблемой, как SMS-спам. Массовая рассылка, продвигающая акции компании Fredericks Entertainment (штат Невада), в течение нескольких дней докучала владельцам мобильных средств связи и опустошала их счета. Антиспам-системы Verizon Wireless, Sprint, AT&T и U.S. Cellular изнемогали под натиском мошеннических текстовых сообщений, традиционно склоняющих получателей вложить деньги в мыльный пузырь. Спам-фильтры гиганта Verizon Wireless ежедневно блокировали порядка 50000 спамовых SMS-сообщений, а система фильтрации в Sprint после двух единовременных спам-атак просто захлебнулась. По всей видимости, спамеры атаковали мобильные номера методом случайной выборки. Жертвы спамерской эскапады, не имеющие авансированной SMS-услуги в тарифном плане, вынуждены были оплатить получение "биржевых ведомостей". Счастливые же обладатели полного пакета услуг мобильной связи были горько разочарованы, впервые столкнувшись с несовершенством сервиса. По имеющимся данным, в самой Fredericks Entertainment ничего не известно о свершившейся акции. В результате мошеннической рассылки с использованием SMS-каналов стоимость акций компании за 4 дня возросла в полтора раза, а еще через пару дней упала ниже стартового уровня. По оценке Комиссии по ценным бумагам и биржам США (SEC), ежегодно в стране рассылается 5,2 миллиарда единиц "биржевого" спама - по каналам электронной почты, IM-связи, а теперь и в виде коротких текстовых сообщений. Источник: msnbc.msn.com Зомби из Pfizer предлагают заменители Виагры 12.09.2007 По данным мониторинговой компании Support Intelligence, за последние полгода 138 IP-адресов фармацевтического гиганта Pfizer попали в различные "черные списки" за рассылку спама, по иронии судьбы рекламирующего поддельную Виагру. Ведущий производитель этого медикамента не причастен к спамерской деятельности. По всей вероятности, компьютеры Pfizer были инфицированы ботами. В Support Intelligence не смогли установить реальное число зомбированных компьютеров в сетях Pfizer, так как большая часть спам-трафика проходит через брандмауэры, затрудняющие определение исходящих IP-адресов. За время наблюдения за сетями Pfizer специалисты по ботнетам выявили 600 различных образцов спамовых сообщений, рассылаемых с компьютеров этой компании. За 3 часа было перехвачено не менее 20 нелегитимных писем с рекламой заменителей Виагры и других контрафактных медикаментов. Помимо медицинских препаратов, зомбированные ПК Pfizer предлагали интернет-сообществу приобрести "ролексы" и мелкие акции безвестных компаний. В качестве обратного адреса в спамерских агитках указывались поддельные аккаунты Google Gmail. Несмотря на многочисленные предупреждения Support Intelligence, в Pfizer никаких мер к исправлению ситуации принято не было. Те же боты были обнаружены исследователями Support Intelligence на компьютерах других крупных игроков мира бизнеса, таких как Toshiba и Bank of America. Источник: TechWorld Спам - статистика за период 03 - 09 сентября 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 75,2%. Тематическое распределение спама на прошедшей неделе претерпело ряд незначительных изменений. Доля спама тематики "Медикаменты; товары/услуги для здоровья" выросла на 4,5%, в то время как доля рассылок, посвященных компьютерам и Интернету, уменьшилась почти на 4%. На 8,1% увеличился процент спама тематики "Другие товары и услуги". Также можно отметить некоторое увеличение доли спама, посвященного недвижимости. В частности, это одна из первых рубрик, в которых в этом году был зафиксирован "новогодний" спам. На прошедшей неделе прошла рассылка, предлагающая снять в аренду на Новый Год шале в Мерибеле. Одна из наиболее массовых рассылок, относящихся к рубрике "Другие товары и услуги", была посвящена выбору подарков. В стихотворной форме спамеры предлагали всем желающим подобрать "любой подарок". Эта рассылка необычна по двум параметрам: во-первых, оригинальна сама идея рекламы не одного конкретного продукта, а выбора из множества вариантов. Во-вторых, рассылки, основной темой которых является выбор подарков, как правило, являются четко привязанными к конкретным праздникам. Но эта рассылка прошла в самое настоящее "межсезонье". В этой же рубрике была представлена и впечатляющая реклама телескопов. В этой рекламе также использовались стихотворные элементы. В рифмованной форме спамеры пытались убедить потенциальных покупателей в том, что наличие телескопа - первый признак просвещенного европейца. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 32,5% +4,4% 2 Другие товары и услуги Предложения других товаров и услуг 24,8% +8,1% 3 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 9,2% +1,4% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8,3% -3,9% 5 Образование Реклама семинаров, тренингов, курсов 7,5% -2,8% 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 3,3% -1,7% 7 Остальной спам   3,3% +0,6% 8 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,3% +1,9% 9 Полиграфия Визитки, календари, печать, услуги типографии и пр. 2,5% -1,7% 10 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. Менее 2% -2,5% 11 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% -1,9% 12 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% +0,8% 13 Юридические услуги и аудит Предложения юридических услуг Менее 2% -2,8% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Августовский спам с троянскими намерениями Татьяна Никитина В августе специалистами по безопасности различных компаний было зафиксировано увеличение глобальных объемов спама. Эксперты отмечают рост числа нелегитимных сообщений с вредоносными ссылками и усматривают причину этого роста в деятельности 1,8-миллионного ботнета, сеющего в Сети "штормовых" троянцев. По данным MessageLabs и Symantec, в августе уровень спама вырос на 3% и составил порядка 70% от общего объема почтового трафика (специалисты MessageLabs приводят цифру 74% в регулируемом трафике и 83,7% на "спам-ловушках", Symantec - 69%). Близкие показатели были зафиксированы и компаниями IronPort (83%) и PandaLabs (87,5%). Самый высокие значения доли спама в почтовом трафике приводит SoftScan: по данным компании, среднемесячный показатель составил 91,9%, а иногда достигал отметки 96,89%. Пик активности спамеров пришелся на середину месяца, когда глобальный Интернет захлестнула мощнейшая волна биржевого спама. За сутки 15 августа эксперты MessageLabs перехватили 600000 спамовых писем. По данным Symantec, доля графического спама в общем объеме спам-рассылок осталась неизменной и составила около 10%. Новинка июня, спамовые письма с PDF-вложениями, к началу августа обрела большую популярность у спамеров. Но к концу месяца доля нелегитимных сообщений с PDF-, XLS- и RAR-вложениями в общем объеме спама сократилась с 20% до 1%. По единодушной оценке специалистов в области компьютерной безопасности, минувший месяц был отмечен значительным увеличением числа спамерских посланий с вредоносными ссылками. По данным Symantec, злонамеренные письма, которые загружают на компьютер реципиента троянца, составили15% от общего количества спама. В MessageLabs уверены, что этот показатель за месяц вырос с 0,5% до более высокого уровня - 19,5%. Количество спамовых писем с "троянскими" вложениями, по оценке Sophos, напротив, резко сократилось до одного на тысячу, тогда как в первом полугодии 2007 года этот показатель составлял одно из 322. Как полагают в MessageLabs, большая часть августовских спамовых писем с вредоносными ссылками распространялась с мощнейшего ботнета, зараженного "штормовым червем". Эти послания в текстовом или HTML-формате предлагали получателю посмотреть виртуальную открытку или компрометирующий видеоклип на YouTube. В качестве ссылки указывался IP-адрес из четырех групп цифр, разделенных точками. "URL-квартет" заводил потенциальную жертву на зараженную страницу и одаривал его троянцем. В течение августа исследователи MessageLabs наблюдали безудержный рост популяции вредоносных веб-сайтов, ежедневно выявляя и блокируя в среднем 1772 новых хостинга. Общее число таких веб-сайтов, заблокированных MessageLabs, за месяц составило 55000. В Sophos каждый день августа регистрировали в среднем 5000 новых веб-страниц, зараженных вредоносным ПО. В августовском рейтинге Sophos стран-хостеров инфицированных веб-страниц Россия по-прежнему удерживает непочетное третье место (11,3% от общего числа), следуя за США (20,8%) и Китаем (44,8%). Количество вредоносных веб-страниц в Украине, сохраняющей в рейтинге Sophos четвертую позицию, в августе более чем удвоилось и составило 7,7%. В тематическом разделении спамовых сообщений в течение трех последних месяцев, по статистике Symantec, лидирует рубрика товаров и услуг - 28% от общего количества спама, второе место занимают интернет-услуги (18%), на третьей позиции финансы (15%), на четвертой - медицинские препараты и услуги (12%). По данным MessageLabs, в августе от атак спамеров больше всего страдал сельскохозяйственный сектор - 66,9% от общего объема спама. Уровень спама в сфере телекоммуникаций вырос на 22,3%, этот сектор выдвинулся на второе место. Меньше всего спама MessageLabs зафиксировала в финансовом секторе - 30,5%. По оценке Symantec, около половины спама по-прежнему рассылается из Северной Америки, на долю которой приходится 60% общего почтового трафика. Спам из Европы превышает 30%, а объемы европейского почтового трафика составляют около 23% от общемирового. Азия является источником приблизительно пятой части спам-трафика и 15% почтового трафика. По статистике MessageLabs, в прошедшем месяце наиболее высокие темпы роста спам-рассылок наблюдались в Израиле, где уровень спама поднялся на 9,9% и составил 70,7% от общего объема почтового трафика. Значительно увеличился спамооборот во Франции (на 9,5%) и Испании (на 9,2%). Меньше всех от атак спамеров страдала Индия, где число спамовых сообщений не превышало трети всех писем, получаемых по электронной почте. Следует отметить, что в августе количество спамовых сообщений со ссылками, использующими домен .cn, по данным Symantec, увеличилось в семь раз. Такой спам рекламирует, в основном, медицинские препараты и услуги игорного бизнеса. Специалисты Symantec также зафиксировали нововведения в "нигерийских" письмах, такие как вложения в формате .doc и фотографии мнимых спонсоров и организаторов акции - свидетельства "искренности" намерений отправителя. Еще одной вариацией на тему компьютерного мошенничества стало появление малограмотных призывов получить в дар породистого щенка; в Symantec прогнозируют, что следующим этапом будет вымогательство денег у реципиента в знак доверия к отправителю. В августе исследователями Symantec была перехвачена интересная разновидность спамовых писем, призывающих повысить квалификацию с помощью онлайн-курсов. Из всех профессий спамеры выбрали: карьеру офицера полиции. В течение одной такой августовской спам-атаки защитные фильтры Symantec блокировали 130000 нелегитимных посланий, сулящих диплом отличника охраны правопорядка. По мнению экспертов, в сентябре следует ожидать дальнейшего увеличения объемов спам-рассылок. Отчет "Лаборатории Касперского" о ситуации со спамом в Рунете читайте в следующем номере журнала Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005